Publicado:
Leitura 3 minutos
O Decreto 7.963 institui o Plano Nacional de Consumo e Cidadania e o Decreto 7.962 dispõe sobre a Contratação no Comércio Eletrônico, ambos publicados no dia 15 de Março de 2013. Estes decretos, dentre outros assuntos relacionados ao Consumidor e ao Comércio Eletrônico, definem regras Segurança da Informação que a Organização precisará cumprir.
O Plano Nacional de Consumo e Cidadania no seu Artigo 5º. Define como ações a ?garantia da privacidade, confidencialidade e segurança das informações e dados pessoais prestados ou coletados, inclusive por meio eletrônico?. A Organização que pratica o Comércio Eletrônico obrigatoriamente terá que garantir estas ações. Para ter este conjunto de ações a Organização precisa ter um Processo Organizacional de Segurança da Informação, baseado na Norma NBR ISO/IEC 27002:2005 – Tecnologia da informação ? Técnicas de segurança – Código de prática para a gestão da segurança da informação. Uma loja pequena que coleta dados de clientes precisa garantir o sigilo dos dados pessoais. Para tanto precisa ter um sistema de proteção para garantir o acesso apenas por funcionários autorizados e precisa garantir que estes dados não serão facilmente copiados e utilizados de maneira fraudulenta por pessoas que tenham acesso ao computador desta pequena loja.
No caso acima a questão da confidencialidade-sigilo da informação é o elemento de destaque.
Porém o Decreto 7.692-2013 exige outras características da segurança da informação como a integridade e a disponibilidade da informação. No seu Artigo 4º. O Decreto indica que o Fornecedor deverá:
– confirmar imediatamente o recebimento e aceitação da oferta (Disponibilidade);
– disponibilizar o contrato ao Consumidor (Disponibilidade e Controle de Acesso);
– manter o serviço adequado e eficaz de atendimento (Disponibilidade, Integridade, Confidencialidade, Controle de Acesso, Autenticidade das partes);
– confirmar imediatamente o recebimento das demandas do consumidor (Disponibilidade, Controle de Acesso, Integridade, Autenticidade); e
– utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor (Disponibilidade, Confidencialidade, Autenticidade, Integridade, Técnicas de criptografia)
No Artigo 5º. Ainda exige que o arrependimento do Consumidor será comunicado imediatamente pelo Fornecedor à instituição financeira ou administradora de cartão de crédito. Também deverá ser enviada ao consumidor à confirmação do recebimento da sua manifestação de arrependimento. Este item contempla fortemente a Disponibilidade mas também exige a Integridade e Autenticidade.
Em resumo, uma Organização que se propõe a vender pelo Comércio Eletrônico têm que desenvolver ou aprimorar o seu Processo Organizacional de Segurança da Informação. Com uma característica que tudo isto acontece no ambiente virtual. Neste ambiente a diferença de uma Organização de grande porte para outra de pequeno porte não existe, pois a porta de entrada de qualquer uma delas é um clique.
Proteja a informação da sua empresa antes que seu cliente de comércio eletrônico lhe ensine a lição, cobrando a lei, e com certeza cobrando uma boa indenização por falha de segurança na sua Organização.
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.
[email protected]
www.nucleoconsult.com.br
Estrategista e gestor de Segurança da Informação, Riscos, Continuidade de Negócio, Governança, e Combate a Fraude de Informação.
Login
